一种远程桌面协议流量行为的多级分类检测方法技术

本发明专利技术公开了一种远程桌面协议流量行为的多级分类检测方法，首先筛选出加密的RDP协议流量，包括TLS协议、SSH协议、HTTP隧道流量的识别；然后根据RDP协议建立连接阶段的报文长度序列特征实现对加密RDP流量的识别；最后针对加密RDP协议流量所包含的行为，通过对流量长度、负载随机性和交互性三个层面提取特征，并使用机器学习的方法进行分类，实现RDP协议流量内部细粒度的识别，即对RDP协议流量行为的识别。本发明专利技术在保证隐私的前提下，通过对流量多级化分类处理，能够有效实现对用户远程操控服务器所产生的RDP协议流量识别以及具体操作行为的分类。

【技术实现步骤摘要】
一种远程桌面协议流量行为的多级分类检测方法
本专利技术属于网络安全
，尤其涉及一种远程桌面协议流量行为的多级分类检测方法。
技术介绍
远程桌面协议(RDP)是目前使用最广泛的安全远程桌面协议，该协议服务为远程办公、远程维护、远程调用系统共享资源等工作提供了便利，极大提高了企业和个人的管理效率，因此其在高度信息化的今天得到了越来越广泛的使用。同时为了企业安全保障或统计需求，RDP协议的审计工作变得尤为重要。在RDP协议愈发普及化的同时，涉及企业和个人的网络隐私问题、网络安全问题也随之而来，如可能存在用户通过RDP协议对计算机进行远程控制实现数据窃取，或者使用规定之外软件进行操作，对企业网络安全构成威胁。另外，为保障通信安全性，RDP协议在使用过程中通常以加密方式进行通信，最普遍的方法是使用加密协议对原协议进行封装，其中主要表现在基于TLS协议、SSH协议和HTTP隧道的RDP协议，这就使得利用远程桌面技术对计算机的操作具有隐蔽性，不易检测。出于对企业内部网络安全的需求和考虑，愈发需要对RDP协议流量进行感知，对RDP协议所承本文档来自技高网...

【技术保护点】
1.一种远程桌面协议流量行为的多级分类检测方法，其特征在于，包括：/n识别TLS协议、SSH协议和HTTP隧道流量，进行第一级分类；/n识别基于以上三种加密方式的RDP协议流量，进行第二级分类；/n识别加密RDP协议流量所包含的行为类别，进行第三级分类；/n对用户操作行为流量进行分析并提取流量特征，训练生成分类器模型；/n根据不同加密协议的网络流量，结合多级分类检测方法的分级处理过程，在不同层级对加密流量做相应识别，从而实现RDP协议的细粒度检测。/n

【技术特征摘要】
1.一种远程桌面协议流量行为的多级分类检测方法，其特征在于，包括：
识别TLS协议、SSH协议和HTTP隧道流量，进行第一级分类；
识别基于以上三种加密方式的RDP协议流量，进行第二级分类；
识别加密RDP协议流量所包含的行为类别，进行第三级分类；
对用户操作行为流量进行分析并提取流量特征，训练生成分类器模型；
根据不同加密协议的网络流量，结合多级分类检测方法的分级处理过程，在不同层级对加密流量做相应识别，从而实现RDP协议的细粒度检测。


2.根据权利要求1所述的远程桌面协议流量行为的多级分类检测方法，其特征在于，在识别TLS协议、SSH协议和HTTP隧道流量前，根据源地址、目的地址、源端口、目的端口、TCP层协议解析数据流，并根据序列号、确认号对TCP数据流进行分组。


3.根据权利要求1所述的远程桌面协议流量行为的多级分类检测方法，其特征在于，第一级分类中，TLS协议识别包括对数据流前4到6个包进行分析，获取ClientHello、ServerHello、AplicationData、ClientKeychange、ChangeCipherSpec、Certificate、ServerHelloDone报文信息。


4.根据权利要求3所述的远程桌面协议流量行为的多级分类检测方法，其特征在于，对TLS识别具体过程包括：匹配报文结构中特定位置的特定取值：ClientHello和ServerHello中第1个字节0x16，第2字节0x03；AplicationData第1个字节0x17，第二个字节0x13；ClientKeyExchange第1个字节0x17，第二个字节0x13，第5个字节0x10；ChangeCipherSpec在ClientKeyExchange报文末尾字...

【专利技术属性】
技术研发人员：陈涛，刘光杰，刘伟伟，白惠文，高博，
申请(专利权)人：南京理工大学，
类型：发明
国别省市：江苏;32